KnightPentest VS Ripper Boards ч.1 разбираемся в xenforo

[D2]

Дисклеймер: Сторонники движения белых хакеров KnightPentest, совместно с другими специалистами, призывают вас не заниматься нелегальной деятельностью. Все действия выполнены в исследовательских целях, совпадения случайны. Первую часть писали молодые ресерчеры, если вы заметили неточную информацию - поделитесь в комментариях.


Предыстория:
Наша команда планировала выходить на международный рынок. Нашей задачей было скупить всю рекламу у иностранных злоумышленников. Чтобы на всех иностранных форумах висел рекламных баннер нашей айти команды. Мы хотели злоумышленников обучить багхантить легально, чтобы они перешли на честный путь. Мы ознакомились с топиком ripper boards /threads/31024/page-16 к сожалению не нашли там ресурс злоумышленников под названием shadowforum.**
p/s злоумышленник в данном контексте - это данный форум, который нас кинул на рекламный баннер.

Когда мы закупали рекламу, часто попадались на форумы с левым траффиком. Администрация запускает своих ботов на форум, которые крутят онлайн форума, просмотры, комментарии, отзывы. Когда твоя задача состоит в том, чтобы массово скупить рекламу, у тебя нет времени сидеть и все это дело проверять. Задача злоумышленников продать, как можно больше разных рекламных услуг, если ты пришел приобрести один рекламный баннер, тебе сделают огромную скидку лишь бы купил еще закреп темы, рекламу в жабе. А по итогу траффика то нихуя нет)))) Также стоит добавить, что админы подобных ресурсов любят быстрые деньги и вообще не парятся, поднимают сразу несколько форумов и советуют у своей второй личности купить рекламу, что-то по типу рефералки. Статьи чаще всего парсятся из других источников, они пытаются брать не качеством, а SEO.

Администратор xss уже сообщал о подобных действиях злоумышленников.

Нарисованный депозит, голый движок xenforo, даже не убрали Share в месседжы, ага бля сейчас в ватцап поделимся))))

Ладно) Админ этого форума просто юморист. Скорее всего решил ознакомиться, как работает движок xenforo и SEO. Не будет даже подобному форуме время свое уделять)) Вот shadow намного интереснее конкретно для нас, поэтому к нему обязательно вернемся, но не в этой части.
Xenforo ознакомительная часть для новичков
XenForo - это коммерческий форумный движок, написанный на PHP, разработанный бывшими ведущими разработчиками vBulletin(та еще дыра бл#ть, на ачате столько уязвимостей нашли, будто цель разрабов была написать максимально дырявый движок для ctf тасков).

Пол Бл#ть - это дядька, который реально имеет вес в комьюнити xenforo. Это как bratva на xss, но только у него свой выдуманный мир, где все обязаны покупать его продукт, чтобы пользоваться поддержкой на форуме. Человек сидел на нелицензионном продукте, заработал средства и купил лицензию, а он его обосанными тряпками отп#здил)) После покупки лучше их лицензию отключить, чтобы им логи не летели, сейчас покажем примерно как это можно сделать:
\\src\\XF.php содержит вот такие строчки:
PHP: Скопировать в буфер обмена

const XF_API_URL = 'https://domain.com/api/';
const XF_LICENSE_KEY = '6dfIzudfdffddfdpHJHgfgfitboehghg';

замените значение XF_LICENSE_KEY на domain.com или просто прокомментируйте эти строчки.
Можете еще для уверенности в /etc/hosts добавлять в блэклист, чтобы не стучала информация хрен пойми куда.
127.0.0.1 forum.xenforo.com
127.0.0.1 www.xenforo.com
127.0.0.1 support.xenforo.com

По-хорошему надо либо делать нормально, либо вообще не делать. С помощью GPT 4.0 можно собрать с xenforo исходников все доменные имена, посмотреть что из этого действительно нужно, а что положить в блэклист. Спросите этого робота про iptables, ipset(динамические ip), squid для фильтрации dns, все подробно вам расскажет.
Нажмите, чтобы раскрыть...

После этого вы не сможете автоматически получать обновления, придется их устанавливать вручную.

Примеры крупных взломов/утечек

Некоторые хакеры обычно придерживаются правила - работает, значит трогать не нужно и не обновляют ПО, поэтому происходит беда. Например
Нажмите, чтобы раскрыть...

мем взяли с xss топика
Можно еще один довольно интересный пример привести.

По словам одного специалиста с экспы(человек на скриншоте никакого отношения к нему не имеет) - monopoly был серьезный ресурс, куда богатые дядьки вкинули сотни тысяч долларов. По итогу ФБР их накрыли. Вот коротко что получили спецслужбы:

• Заверенная копия разрешительных документов на осуществление предпринимательской деятельности ООО «Технологии будущего»
• Информация о владельца и пользователя IP адреса 213.155.7.24 с предоставлением заверенных копий документов.
• Информация о владельца и пользователя доменного имени lcp.cc с предоставлением заверенных копий документов.
• Информация о подключении, с указанием источника и места назначения по адресу IP 213.155.7.24, касающиеся домена lcp.cc, в течение периода с 1 апреля 2015 по настоящее время.
• Созданной копии компьютерного сервера ( "логический образ»), который обеспечивает хостингом ресурс 1ср.сс(наша команда не совсем поняла при чем тут 1cp.cc, если речь про lcp.cc) с IP адреса 213.155.7.24.
  
  Еще один пример. Начинающий журналист Krebs(у нас в команде намного пизже журналисты) раскрыл личность хакера x999xx. Давайте ознакомимся с отрывком "kill chain"
  
  
  
  
  Тут видно, что дамага и экспа ранее логировали айпи, возможно с целью блокировать мультиаккаунты или чтобы проще было восстановить аккаунт в случае утери 2FA. Про безопасность и логи можете подробнее прочитать тут: https://xss.is/help/anonymity/
  
  
  

Читая подобные новости, очень хочется попытаться рассказать как работает логирование ip в движке xenforo. Новичкам очень полезно будет это знать.

Из под коробки в xenforo для администрации есть панель domain.com/online/
Тут отображается username участника и ip, гости, поисковые роботы тоже логируются. Если кликнем на ip, то появится вот такое окошко

PTR-запись. Сопоставление ip к доменному имени. Далее администратор форума может посмотреть, что это за злоумышленник и что он хочет. Используем для этого онлайн сервисы. Если злоумышленник был замечен в спам атаках, то это будет видно.

Можно еще проверить есть ли доменное имя в черном списке https://check.spamhaus.org/results?query=xss.is удивительно, что xss и соседние форумы полностью чистые) Администрация, поделитесь секретом. Неужели пакостников не нашлось.
admin xss: Привет. Периодически мы туда попадаем. Поэтому у меня в запасе 4 домена. И зеркало (xss.as). Решает проблему onion зеркало. Удобнее тора ничего нет. DBL - это не страшно, пусть себе висит, главное, чтобы не залистили сетку и ип. Залистят ип - хостер выгоняет в 99% случаев, даже абузный.
KnightPentest: И какие санкции на вас применяются. Я так полагаю письма потом в inbox гугла и других серьезных компаний не приходит?
admin xss: Да, почта будет попадать в спам, т.к. в хедеры добавляется хедер, сообщающий о наличии домена отправителя в листинге. Есть DBL (домены) и обычный листинг (SBL и т.д.). На DBL, по сути, пофиг. Замени почтовый домен, да и все. Если попадешь в обычный не доменный листинг, нужно менять сетку и ip. Это гораздо хуже и действительно проблематично.

KnightPentest: Для чайников все таки кратко надо пояснить. Spamhaus - это один из самых популярных блэклистов. Например gmail использует spamhaus и если домен в блэклисте, то все письма будут лететь в спам. Про spamhaus можете прочитать в гугле, там все расписано какие типы блэклистов у них есть, как удалиться оттуда (вплоть доходит до того, что нужно на листочке от руки писать на английском аргументы почему должны они убрать, пиздец DD)

Если злоумышленники-неудачники уже вас достали, то вы можете заблокировать всю их подсеть или отдельный ip адрес. Из под коробки в админке xenforo есть такая функция. Пусть монеты потратят на ротационные прокси, хули им задачу облегчать.

Забавный факт. Админы начинающих форумов могут специально блокировать все подсети провайдеров страны в которой они живут, чтобы случайно не залогировать свой настоящий ip адрес в бдшку. Отъебнет впн и потом идти руками из бд удалять??? Ха) А если ФБР уже взяли себе в руки аккаунт модератора? А если там логирование не отключено перейдут в /online и увидят все ip юзеров, которые недавно заходили. Admin be like: который в маршрутке проезжал и сидел через мобильные данные ahahahahah

Можно сразу импортировать файл с подсетями/айпишниками для блокировки, но не стоит забывать, что там определенный формат xml. Чтобы его узнать добавь любой IP для запрета и любую причину. Далее экспортируйте и увидите Если требуется добавить сразу много ip, подсетей, то попросите нейронку написать вам код, которая на вход примет ip/подсети на выходе сгенерирует xml файл с нужным форматом, как на скриншоте. (она сделает, проверено).
XML: Скопировать в буфер обмена

<?xml version="1.0" encoding="utf-8"?>
<banned_ips>
  <entry ip="127.0.0.1" match_type="banned">
    <reason><![CDATA[тут причина бана]]></reason>
  </entry>
</banned_ips>

Далее наша команда белых хакеров решила обратиться к русскоязычному xenforo community неофициальному. Участник с никнеймом ~kill-me-pls~ согласился с нами пообщаться.

KnightPentest: Ты по-моему кидал url где кусок кода, который надо убрать, речь про логирование xenforo.
~kill-me-pls~: Давай расскажу

# логирование гостей
По поводу логированния гостей в Xenforo есть готовый код позволяющий просматривать ip адреса с которых производится просмотр сайта. Если рассматривать его более простую версию - вот она.
PHP: Скопировать в буфер обмена

<?php
// Получаем IP посетителя сайта
$ip = $_SERVER['REMOTE_ADDR'];

// Выводим адрес
echo "Ваш IP-адрес: $ip";
?>

Если хотите мнимой анонимности - достаточно установить плагин XF2 - Hide Users IP In Public. Так ip адреса перестанут отображатся у юзеров, но не в Access Control Panel. Так же ip адреса будут отображатся в я.метрике, РСЯ и гугл адсенс в случае когда форум имеет доступ к этим панелям. С помощью xenforo невозможно достичь такого что логированние не будет вестись в принципе. Только лишь убрать визуал этого. У гостей ведется всегда логированние ip адреса, тип устройства, разрешения экрана.
# Логирование поисковых роботов и систем
Для того что бы отличить юзеров от поисковых ботов, нужно знать какие ip адреса принадлежат компаниям. Вот примеры
Спойлер: ip pool
`Yandex: 77.88.0.0/18, 87.250.224.0/19, 93.158.128.0/18, 95.108.128.0/17;`
`Google: 64.68.80.0/21, 64.233.160.0/19, 66.102.0.0/20, 66.249.64.0/19;`
`Yahoo: 67.195.0.0/16, 69.147.64.0/18, 72.30.64.0/16, 74.6.0.0/16;`
`Bing: 65.52.0.0/14, 207.46.0.0/16.`
Злоумышленники часто убирают разрешения просмотра поисковым роботам страниц всего форума или сайта(выключают индексацию), если он посвящен тематике даркнета или ворк сообщества. Если они этого не сделают, то по истечении какого то времени возникнут проблемы (вплоть до блокировки сайта)
# Логирование юзеров
Xenforo собирает различные данные о пользователях и их активности на форуме. Вот некоторые из них:

• IP-адрес С которого пользователь зашёл на форум.
• Информация о пользователе это имя пользователя, аватар, статус, роль, которые пользователь указал при регистрации.
• Активность пользователя это действия, которые пользователь совершает на форуме.
• История просмотров это страницы, которые пользователь просматривал на форуме.
• История сообщений это сообщения, которые пользователь отправлял на форуме.
• Настройки пользователя это предпочтения пользователя относительно интерфейса форума, уведомлений и других параметров.

Логирование полезно маленьким форумам, которые не могут позволить себе нормальную защиту от дудоса или же не хотят, чтобы логи летели кому попало. Если у вас форум набирает обороты - вам обязательно встретится форум конкурент и произведет покушение на ваш форум. Так мне пришлось потратить кучу времени, что бы xenforo более точно определял момент ддоса и блокировал ip адреса пользователей.

Завершение
Первую часть написали участники нашей молодой it команды. Они не раскрыли даже и 2% информации, которой надо. Мы ждем критики, отзывов, предложений. Спойлер о чем мы собираемся рассказать в следующей части и кто будет приглашен:
Спойлер: KnightPentest
Мы возвращаемся с хорошими новостями. Команда белых хакеров KnightPentest расширилась, нытиков и пиздаболов пришлось кикнуть. С отдельными парнями с xss пилим большой репортаж мы осветим такие темы:
1. Скам-Форумы злоумышленников. Раскроем схемы мошенников.
2. Расскажем какие CMS чаще всего используют злоумышленники для поднятия одноразовых форумов. Расскажем подробно про движок xenforo.
3. Российкий хакер с xss(наш гость, который согласился дополнить репортаж), расскажет интересную стори, как он задонил американской стримерше 300$, чтобы посмотреть на ее фигуру (в листе услуг была указана такая услуга), по итогу его наебали и он положил всю американскую платформу на 20 минут. Поделится как на тот момент он это сделал. (наша команда осуждает его действия и не призывает подобными вещами заниматься). Наша задача показать специалистам по информационной безопасности какие методы используют злоумышленники, чтобы те от них защитились.
4. В целом данный хакер расскажет подробно про форум злоумышленников shadowforum и какие косяки они допустили в безопасности)))

На данный момент наша команда строит свой личный киберполигон для тренировок, поднимаем на своих выделенных серверах. Чтобы статьи были интересные и наших ребят готовить
Список url для тренировок (прислал наш подписчик, он собрал их с топика xss ripper boards)
Спойлер: url
host;Status;Type;Comment
ccc.gs;Припаркован
ccc.mn;Припаркован
ccc.hn;Не активен
ccc.sb;Не активен
embargo.cc;ERROR
vbank.pw;Не активен
carding.ug;Не активен
hacksell.co;Активен;Закрытый
drop-usa.ru;SEO
vica.pro;Припаркован
darkode.su;Не активен
darkode.net;Активен;Не форум
cardingteam.cc;Припаркован
OmertaHack.net;Не активен
cdotws.pw;Припаркован
cardingforums.ws;Припаркован
dark-russia.ru;Не активен
carding.team;Не активен
public-server.com.ua;Не активен
criminal.bz;Не активен
cop.su;Припаркован
carder-club.pw;Припаркован
carder-club.org;Припаркован
moza.pw;Не активен
fraud-jlk.pw;Не активен
demos.info;SEO
direct-connection.me;Не активен
altenen.com;Припаркован
cardingmafia.ws;Припаркован
crdpro[.]biz;SEO
darkstuff.name;Не активен
dragonara.su;Не активен
csu.su;Не активен
darkbiz.co;Не активен
cifa.biz;Не активен
w1lat.pw;Не активен
bravos.biz;SEO
cardpro.pw;Не активен
white-cat.in;Не активен
go.ykcity.kz;Не активен
kissycard.ga;Не активен
jentelmens.pw;Не активен
kissmycard.biz;Не активен
criminal.city;Припаркован
carderland.com;Припаркован
cvv.pm;Припаркован
0dayexploits.net;Припаркован
ultrahacks.org;Припаркован
help-hack.online;Не активен
verified.re;SEO
darkforums.cc;Не активен
pirat-bay.com;Не активен
ccc.cab;Не активен
blackmarkt.in;Не активен
topforum.cc;Не активен
darkmarkt.in;Не активен
crdforum.cc;Активен;Открытый;Сетка shadowforum.cc
shadowforum.cc;Активен;Открытый
damagelab.net;Не активен
directconnection.pro;Не активен
darksu.io;Активен;Закрытый
moon.sb;Не активен
cvvboard.top;Не активен
directforum.in;ERROR
verified.international;Не активен
cgy.one;Не активен
a.acvvboard.bz;Не активен
acvvboard.bz;Не активен
be.zloy.live;Не активен
psymania.info;SEO
luxchecker.pw;Активен;Закрытый
exclick.biz;Не активен
reddi.biz;Не активен
crackingmafia.to;Не активен
xck.me;Не активен
shadowboards.su;Припаркован
massonclub.org;Припаркован
cvvboard.club;Не активен
cvvbrd.info;Не активен
cvvboard.biz;Припаркован
luxchecker.pm;ERROR
cvvboard.cc;Припаркован
skay.in;Не активен
angelics.sellpass.io;SEO
maza888.la;ERROR
directconnection.name;ERROR
olux.to;Активен;Закрытый
h0ss.cc;Не активен
2cdr.cc;ERROR
trueads.cc;Не активен
xakw.cc;Не активен
hackteam.cc;Не активен
blackads.in;Не активен
verfor.cc;ERROR
arbitraj-forum.ru;Припаркован
carder.market;Активен;Открытый
bufer.biz;Активен;Закрытый
apeclub.world;Припаркован
clubape.pro;Припаркован
cashouts.guide;Активен;Закрытый;На главной продажа, форум по https://cashouts.guide/forum.html
xss.bz;Не активен
bennumb.cards;Активен;Закрытый
cvvpro.mn;Активен;Открытый
boo.wf;Активен;Открытый
b1nd.net;Активен;Открытый
bb-world.link;Активен;Закрытый;Сетка bb-world.biz
bb-world.biz;Активен;Закрытый;Сетка bb-world.biz
concard.cc;Не активен
0day.today;Активен;Открытый
x0tt.cc;Активен;Открытый
www-faceless.cc;Активен;Закрытый;Сетка www-faceless.cc
face1ess.cc;Активен;Закрытый;Сетка www-faceless.cc
faceless.cx;Активен;Закрытый;Сетка www-faceless.cc
faceless.plus;Активен;Закрытый;Сетка www-faceless.cc
face-less.cc;Активен;Закрытый;Сетка www-faceless.cc
faselees.cc;Активен;Закрытый;Сетка www-faceless.cc
faceiess.cc;Активен;Закрытый;Сетка www-faceless.cc
facelesss.cc;Активен;Закрытый;Сетка www-faceless.cc
x.xakerplus.com;Активен;Открытый;Сетка xakerplus.com
xakerplus.com;Активен;Открытый;Сетка xakerplus.com
mazaforum.pro;Не активен
mazaforum.cc;Активен;Закрытый
faceless.biz;Активен;Закрытый;Сетка www-faceless.cc
xss.ls;Припаркован
kurlza.ws;Припаркован
kapkan.ws;Припаркован
smc.su;Припаркован
moon.ug;Не активен
xss.in;SEO
dcforum.im;Не активен
cybercarders.com;Активен;Открытый
dcforum.cc;Не активен
faceless.store;Не активен
verified.sc;Припаркован
directforum.cc;Припаркован
bmm.bz;Не активен
karder.xyz;Не активен
allwolrdcards.biz;Не активен
faceleess.cc;Активен;Закрытый;Сетка www-faceless.cc
flowcc.shop;Припаркован
cvvunion.pw;Активен;Закрытый
luxsockss.ru;Активен;Закрытый
ibl.info;Припаркован
vìp72.com;Не активен
vip72.ch;Активен;Открытый;Сетка vip72.ch
vıp72.com;Активен;Открытый;Сетка vip72.ch
darknet.works;Припаркован
vip72.cx;Не активен
cccc.sb;Не активен
cardingforum.link;Не активен
darknetforum.su;Припаркован
cybercarders.su;Припаркован
kredet-debet.xyz;Припаркован
maza888.com;Не активен
verifeid.sc;Не активен
dollar.sexy;Не активен
forum.exploti.in;Не активен
c2bits.pw;Не активен
vclubshop.su;Активен;Закрытый
cardingteam.biz;SEO
tor.sg;Не активен
zto.su;Не активен
tramp.pw;Не активен
verif.emc;Не активен
verif.bazar;Не активен
verif.lib;Не активен
verif.coin;Не активен
verif.su;Не активен
maf.ug;Не активен
carders.pk;Не активен
*************;Не активен
cvv.club;Припаркован
dumpz.ws;Активен;Открытый
tor.sb;Не активен
carder.ooo;Не активен
faceless.pro;ПрипаркованСетка www-faceless.cc
davi.su;Не активен
bss-family.biz;SEO
h0st.pw;Припаркован
baksz.shopsn.su;Не активен
trojanforge.org;Не активен
dumps.ws;Активен;Закрытый
yalelodge.net;ERROR
yalelodge.re;Не активен
yalelodge.store;Не активен
yale-lodge.ru;Припаркован
yalelodge.co;Не активен
phreaker.forum.pm;Не активен
Oday.today;Не активен
1337day.com;Припаркован
blackmafias.club;Не активен
lisguz.co;Не активен
ica.su;Припаркован
hydra.uno;Не активен
verified.bz;SEO
dedik.cc;Активен;Редирект на телегу https://t.me/DEDIKCC_BOT
mmm.lc;Не активен
foro-obnal.ru;Не активен
docs-rf.ru;Не активен
forum-sdelki.com;Не активен
cgyone2rxhfw77bfoocomgqlebtyzgadtbh2tayj6xqihvobapfl5lad.onion;Не активен
luxchkr35xj7gis6u4xu67f4theumzhbw43pebz6lc6qsy7ahkzfmzqd.onion;Активен;Закрытый
verified72wsvibfy7a7spl3w4hmtopi3vozpmlbw2lwvixx5xr4l3id.onion;Не активен
verified3d7fmd5ighjzkifqsa22pniugw3xacrxk2mz2e47vb43gdad.onion;Не активен
trueads5ivz6g4gmyykmqjwr6ng4dmx6hgaznvktmjjucscmctmcncqd.onion;Не активен
blackads7o72wwshveeixc6nfafmdrpajpaeeowfinnhynjxxhoyquad.onion;Не активен
bufer2cltkvvvepa3vtnobrhftvmbx5hjpxmwb5tkfyp6wvnadby2uid.onion;ERROR
lamki57hk7mjahbjso7wcui3c25ecesufik7pwapnelxlm7pvp3grwyd.onion;Не активен
smcsu2hqjhgat4puv65muw5nmk6xosstporcq4zymqza2cqhudjpwpyd.onion;Не активен
hqvv7qwjs72kh65qsmwj3ifwtdgewiiiip62rkvmaq6q7zhhqrta2wid.onion;Активен;Открытый
cvvuni7nvrkcvwkbjo54tiw2avyoxfetold6iab4wlqufdgpoyhzgmyd.onion;Не активен
mvfjfugdwgc5uwho.onion;Не активен
verifiedvqgfs4le.onion;Не активен
exploitfh4swewls.onion;Не активен
verifruzzswwsvrh.onion;Не активен
lampedgdbwwnva6e.onion;Не активен
mfclubcnrh2loft6.onion;Не активен
Спойлер: формат
Всем добра.
Разбивка на форумы - готова.

Проверялась из Калифорнии, Европы, РФ

Формат:
host;Status;Type;Comment

Если открывать планируется не через редактор таблиц, вот статусы и типы для грепа:

Status
- Неактивен - домен не резолвится
- Активен - собственно сабж
- ERROR - ошибки сервера (возможно нужно вернуться к ним будет)
- Припаркован - любые варианты парковки домена
- SEO - дропы, редиректы для передачи веса и т.п.

Type
Открытый
Закрытый
Не форум (всего 2 сайта, редирект на телегу и заглушка, может оживет)